Apples Update für 'schwere' iPhone SMS Bug: iMessage verwenden

2014-01-10  |  Comebuy News

Apple hat sich geweigert, bieten eine klare Antwort auf die Frage ob es plant, einen iPhone-SMS-Fehler zu beheben, mit der einen Angreifer eine SMS-Nachricht mit einer gefälschten Absender-Nummer senden können.

Comebuy Verwandte Artikel: Apple warnt Kunden werden vorsichtig von SMS nach 'Makel' CitedWhat Sie sollten Know About der iPhone SMS Spoof AttackiPhone SMS Bug gesagt, dass ernsthafte ThreatApple schiebt iMessage nach SMS Spoof offenbart, aber Tech unter patent CloudiPhone SMS Wanze als ernsthafte Bedrohung

In einer Antwort auf eine Abfrage von Endgadget schlug Apple, dass Kunden ihre Instant-messaging-Service namens iMessage, die funktioniert nur auf iOS, dem Betriebssystem für mobile Geräte von Apple.

"Wenn iMessage anstelle von SMS (short messaging Service) verwendet, Adressen überprüft wurden die gegen diese Art von spoofing-Angriffe schützt," sagte das Unternehmen über das Wochenende. "Eine Einschränkung der SMS ist, dass es ermöglicht, Nachrichten mit gefälschten Adressen an jedes Mobiltelefon gesendet werden, so dass wir fordern Kunden äußerste Vorsicht walten, wenn sie über SMS an eine unbekannte Website oder die Adresse gerichtet sind."

Apple reagierte nicht auf CSO Online-Anfrage für Kommentar am Montag.

Apples Vorschlag, dass die Menschen die sehr begrenzte iMessage angegeben, dass das Unternehmen das Problem nicht ernst nahm, sagte Paul Henry, Security-Experte und forensische Analyst bei Lumension.

"Ich wünschte, sie würde es ein bisschen mehr ernst nehmen," sagte Henry. "Coming out mit einer Linie, die sagen einfach iMessage stattdessen ist sehr praktisch, aber was sagen wir Android Benutzer."

Dennoch ist Apple, das Sicherheitsrisiko im Allgemeinen mithilfe von SMS auf einem mobilen Gerät korrekt. Mit einer gefälschten Absender-Reihe, genannt ist spoofing, nicht schwer auf jedem mobilen Gerät. Viele legitime Websites, z. B. SpoofCard, aktivieren Sie jemand eine falsche Adresse zu senden, wenn Sie einen Text zu senden oder eine falsche Telefonnummer auf CallerID angezeigt haben.

"Es gibt keine Integrität mit SMS oder CallerID," sagte Henry. "Es ist einfach nicht vorhanden."

In Apples Fall liegt das Problem der Sicherheit einzigartig für das iPhone, wie iOS User Data Header-Komponente einer Text-Nachricht verarbeitet. Ein Fehler bei der Umsetzung ermöglicht es einem Angreifer, die Antwortadresse des Textes, einem weißen Hut-Hacker zu ändern, der sich selbst nennt, "pod2g" letzte Woche berichtet.

Dadurch könnte ein Angreifer eine Nachricht senden, die von einer Bank oder einer anderen vertrauenswürdigen Quelle zu kommen scheint. Dies würde es ermöglichen, den Verbrecher auf persönliche Informationen zu suchen oder direkt den Empfänger zu einer Phishingwebsite.

Der Bug existiert seit Beginn der Nutzung von SMS im iPhone und ist noch immer im iOS 6 Beta 4, sagte pod2g, ein französischer Hacker Jailbreaking iPhones bekannt.

Ob eine Person ein iPhone oder anderen mobilen Geräten verwendet, empfehlen Sicherheitsexperten nicht senden persönlicher Informationen als Antwort auf eine SMS-Nachricht angeblich von einer Bank oder klicken Sie auf Links, die per SMS geschickt.

Lesen Sie mehr über Wireless/Mobile Sicherheit in CSOonline's Wireless/Mobile Security Abschnitt.

« Back